Բարի գալուստ Check Point SandBlast Agent Management Platform-ի լուծման մասին շարքի հինգերորդ հոդվածը: Նախորդ հոդվածները կարող եք գտնել՝ հետևելով համապատասխան հղմանը. , , , . Այսօր մենք կդիտարկենք կառավարման պլատֆորմի մոնիտորինգի հնարավորությունները, մասնավորապես՝ տեղեկամատյանների, ինտերակտիվ վահանակների (Դիտել) և հաշվետվությունների հետ աշխատելը: Մենք նաև կանդրադառնանք «Սպառնալիքների որսի» թեմային՝ օգտատիրոջ մեքենայի վրա առկա սպառնալիքներն ու անոմալ իրադարձությունները բացահայտելու համար:
Տեղեկամատյաններ
Անվտանգության իրադարձությունների մոնիտորինգի համար տեղեկատվության հիմնական աղբյուրը տեղեկամատյաններ բաժինն է, որը ցուցադրում է մանրամասն տեղեկատվություն յուրաքանչյուր միջադեպի վերաբերյալ և նաև թույլ է տալիս օգտագործել հարմար զտիչներ՝ ձեր որոնման չափանիշները ճշգրտելու համար: Օրինակ, երբ դուք աջ սեղմում եք հետաքրքրության մատյանի պարամետրի վրա (Blade, Action, Severity և այլն), այս պարամետրը կարող է զտվել որպես Զտիչ՝ «Պարամետր» կամ Զտել դուրս՝ «Պարամետր». Նաև Source պարամետրի համար կարելի է ընտրել IP Tools տարբերակը, որում կարող եք ping գործարկել տվյալ IP հասցեի/անունին կամ գործարկել nslookup՝ սկզբնաղբյուր IP հասցեն անունով ստանալու համար:
Տեղեկամատյաններ բաժնում իրադարձությունների զտման համար կա վիճակագրություն ենթաբաժին, որը ցուցադրում է վիճակագրություն բոլոր պարամետրերի վերաբերյալ՝ ժամանակային դիագրամ՝ տեղեկամատյանների քանակով, ինչպես նաև տոկոսներ յուրաքանչյուր պարամետրի համար։ Այս ենթաբաժնից կարող եք հեշտությամբ զտել տեղեկամատյանները՝ առանց որոնման տողի օգտագործելու և զտիչ արտահայտություններ գրելու. պարզապես ընտրեք հետաքրքրող պարամետրերը և անմիջապես կցուցադրվի տեղեկամատյանների նոր ցանկ:
Յուրաքանչյուր գրանցամատյանի վերաբերյալ մանրամասն տեղեկատվությունը հասանելի է Տեղեկամատյաններ բաժնի աջ վահանակում, սակայն ավելի հարմար է բացել գրանցամատյանը՝ կրկնակի սեղմելով՝ բովանդակությունը վերլուծելու համար: Ստորև բերված է մատյանի օրինակ (նկարը կարող է սեղմել), որը մանրամասն տեղեկատվություն է ցուցադրում վարակված «.docx» ֆայլի վրա «Վտանգների էմուլյացիա» սայրի կանխարգելման գործողության գործարկման վերաբերյալ: Մատյանն ունի մի քանի ենթաբաժիններ, որոնք ցուցադրում են անվտանգության իրադարձության մանրամասները՝ գործարկված քաղաքականություն և պաշտպանություն, դատաբժշկական մանրամասներ, հաճախորդի և երթևեկության մասին տեղեկություններ: Գրանցամատյանից հասանելի հաշվետվությունները հատուկ ուշադրության են արժանի. Այս հաշվետվությունները կարող են բացվել նաև SandBlast Agent-ի հաճախորդից:
Սպառնալիքների էմուլյացիայի հաշվետվություն
Threat Emulation blade-ն օգտագործելիս Check Point-ի ամպում էմուլյացիա իրականացնելուց հետո համապատասխան գրանցամատյանում հայտնվում է էմուլյացիայի արդյունքների մանրամասն զեկույցի հղումը՝ Threat Emulation Report: Նման զեկույցի բովանդակությունը մանրամասն նկարագրված է մեր հոդվածում . Հարկ է նշել, որ այս զեկույցը ինտերակտիվ է և թույլ է տալիս «սուզվել» յուրաքանչյուր բաժնի մանրամասների մեջ: Հնարավոր է նաև դիտել էմուլյացիայի գործընթացի ձայնագրությունը վիրտուալ մեքենայում, ներբեռնել բնօրինակ վնասակար ֆայլը կամ ստանալ դրա հեշը, ինչպես նաև կապվել Check Point Incident Response Team-ի հետ:
Դատաբժշկական հաշվետվություն
Գրեթե ցանկացած անվտանգության իրադարձության համար ստեղծվում է դատաբժշկական հաշվետվություն, որը ներառում է մանրամասն տեղեկություններ վնասակար ֆայլի մասին՝ դրա բնութագրերը, գործողությունները, մուտքի կետը համակարգ և ազդեցությունը ընկերության կարևոր ակտիվների վրա: Մենք մանրամասնորեն քննարկել ենք զեկույցի կառուցվածքը հոդվածում . Նման զեկույցը տեղեկատվության կարևոր աղբյուր է անվտանգության իրադարձությունների հետաքննության ժամանակ, և անհրաժեշտության դեպքում հաշվետվության բովանդակությունը կարող է անմիջապես ուղարկվել Check Point Incident Response Team-ին:
SmartView
Check Point SmartView-ը հարմար գործիք է PDF ձևաչափով դինամիկ վահանակներ (View) և հաշվետվություններ ստեղծելու և դիտելու համար: SmartView-ից կարող եք նաև դիտել օգտվողների տեղեկամատյանները և ադմինիստրատորների համար աուդիտի իրադարձությունները: Ստորև բերված նկարը ցույց է տալիս SandBlast Agent-ի հետ աշխատելու ամենաօգտակար հաշվետվությունները և վահանակները:
SmartView-ի հաշվետվությունները որոշակի ժամանակահատվածում իրադարձությունների վերաբերյալ վիճակագրական տեղեկություններով փաստաթղթեր են: Այն աջակցում է PDF ձևաչափով հաշվետվությունների վերբեռնումն այն սարքին, որտեղ բաց է SmartView-ը, ինչպես նաև PDF/Excel-ի կանոնավոր վերբեռնումը ադմինիստրատորի էլ. Բացի այդ, այն աջակցում է հաշվետվությունների ձևանմուշների ներմուծմանը/արտահանմանը, ձեր սեփական հաշվետվությունների ստեղծմանը և օգտատերերի անունները հաշվետվություններում թաքցնելու հնարավորությանը: Ստորև բերված նկարը ցույց է տալիս ներկառուցված սպառնալիքների կանխարգելման զեկույցի օրինակ:
SmartView-ի վահանակները (Դիտել) թույլ են տալիս ադմինիստրատորին մուտք գործել համապատասխան իրադարձության տեղեկամատյաններ. պարզապես կրկնակի սեղմեք հետաքրքրող օբյեկտի վրա, լինի դա գծապատկերի սյունակ, թե վնասակար ֆայլի անվանում: Ինչպես հաշվետվությունների դեպքում, դուք կարող եք ստեղծել ձեր սեփական վահանակները և թաքցնել օգտվողի տվյալները: Վահանակները նաև աջակցում են ձևանմուշների ներմուծմանը/արտահանմանը, PDF/Excel-ի կանոնավոր վերբեռնումը ադմինիստրատորի էլ.
Լրացուցիչ մոնիտորինգի բաժիններ
Կառավարման պլատֆորմի մոնիտորինգի գործիքների նկարագրությունը թերի կլիներ առանց նշելու Overview, Computer Management, Endpoint Settings և Push Operations բաժինները: Այս բաժինները մանրամասն նկարագրված են , սակայն, օգտակար կլինի դիտարկել մոնիտորինգի խնդիրների լուծման նրանց հնարավորությունները։ Սկսենք Overview-ից, որը բաղկացած է երկու ենթաբաժնից՝ Գործառնական ակնարկ և Անվտանգության ակնարկ, որոնք վահանակներ են՝ պաշտպանված օգտագործողների մեքենաների վիճակի և անվտանգության միջոցառումների մասին տեղեկություններով: Ինչպես ցանկացած այլ վահանակի հետ շփվելիս, «Օպերատիվ ակնարկ» և «Անվտանգության ակնարկ» ենթաբաժինները, հետաքրքրող պարամետրի վրա կրկնակի սեղմելիս, թույլ են տալիս ընտրված ֆիլտրով անցնել «Համակարգչային կառավարում» բաժին (օրինակ՝ «Սեղաններ» կամ «Նախա- Boot Status. Enabled»), կամ բաժինը Տեղեկամատյաններ կոնկրետ իրադարձության. Անվտանգության ակնարկ ենթաբաժինը «Կիբեր հարձակման դիտում – վերջնակետ» վահանակ է, որը կարող է հարմարեցվել և կարգավորվել տվյալների ավտոմատ թարմացման համար:
Համակարգչային կառավարում բաժնից կարող եք վերահսկել գործակալի կարգավիճակը օգտագործողի մեքենաներում, Anti-Malware տվյալների բազայի թարմացման կարգավիճակը, սկավառակի գաղտնագրման փուլերը և շատ ավելին: Բոլոր տվյալները ինքնաբերաբար թարմացվում են, և յուրաքանչյուր ֆիլտրի համար ցուցադրվում է օգտագործողի մեքենաների համապատասխանության տոկոսը: Աջակցվում է նաև համակարգչային տվյալների արտահանումը CSV ձևաչափով:
Աշխատակայանների անվտանգության մոնիտորինգի կարևոր ասպեկտը կարևոր իրադարձությունների մասին ծանուցումների տեղադրումն է (Զգուշացումներ) և գրանցամատյանների արտահանումը (Export Events)՝ ընկերության գրանցամատյանների սերվերում պահելու համար: Երկու կարգավորումներն էլ կատարվում են Endpoint Settings բաժնում, և համար Alerts Հնարավոր է միացնել փոստի սերվերը՝ ադմինիստրատորին իրադարձության ծանուցումներ ուղարկելու և ծանուցումները գործարկելու/անջատելու շեմերը կարգավորելու համար՝ կախված իրադարձության չափանիշներին համապատասխանող սարքերի տոկոսից/թվից: Արտահանման իրադարձություններ թույլ է տալիս կարգավորել տեղեկամատյանների փոխանցումը կառավարման պլատֆորմից ընկերության գրանցամատյանի սերվեր՝ հետագա մշակման համար: Աջակցում է SYSLOG, CEF, LEEF, SPLUNK ձևաչափերին, TCP/UDP արձանագրություններին, ցանկացած SIEM համակարգին, որն ունի գործող syslog գործակալ, TLS/SSL գաղտնագրման և syslog հաճախորդի նույնականացման օգտագործումը:
Գործակալի հետ կապված իրադարձությունների խորը վերլուծության կամ տեխնիկական աջակցության հետ կապվելու դեպքում դուք կարող եք արագ հավաքել տեղեկամատյանները SandBlast Agent-ի հաճախորդից՝ օգտագործելով Push Operations բաժնում հարկադիր գործողություն: Դուք կարող եք կարգավորել ստեղծված արխիվի փոխանցումը տեղեկամատյաններով Check Point սերվերներին կամ կորպորատիվ սերվերներին, իսկ տեղեկամատյաններով արխիվը պահվում է օգտագործողի մեքենայի վրա՝ C:UsersusernameCPInfo գրացուցակում: Այն աջակցում է տեղեկամատյանների հավաքագրման գործընթացի գործարկումը սահմանված ժամանակում և օգտատիրոջ կողմից գործողությունը հետաձգելու հնարավորությունը:
Վտանգների որս
Threat Hunting-ն օգտագործվում է համակարգում վնասակար գործողությունների և անոմալ վարքագծի ակտիվ որոնման համար՝ անվտանգության հնարավոր իրադարձությունների հետագա հետաքննության համար: Կառավարման պլատֆորմի սպառնալիքների որս բաժինը թույլ է տալիս օգտատիրոջ մեքենայի տվյալների մեջ որոնել նշված պարամետրերով իրադարձություններ:
The Threat Hunting գործիքն ունի մի քանի նախապես սահմանված հարցումներ, օրինակ՝ վնասակար տիրույթները կամ ֆայլերը դասակարգելու, որոշակի IP հասցեների հազվագյուտ հարցումներին հետևելու համար (ընդհանուր վիճակագրության համեմատ): Հարցման կառուցվածքը բաղկացած է երեք պարամետրից. ցուցիչ (ցանցային արձանագրություն, գործընթացի նույնացուցիչ, ֆայլի տեսակ և այլն), օպերատոր («է», «չէ», «ներառում է», «մեկից» և այլն) և հարցման մարմինը. Դուք կարող եք օգտագործել կանոնավոր արտահայտություններ հարցման մարմնում, իսկ որոնման տողում կարող եք միաժամանակ օգտագործել բազմաթիվ զտիչներ:
Զտիչ ընտրելուց և հարցումների մշակումն ավարտելուց հետո ձեզ հասանելի են բոլոր համապատասխան իրադարձությունները՝ միջոցառման մասին մանրամասն տեղեկություններ դիտելու, հարցման օբյեկտը կարանտինացնելու կամ իրադարձության նկարագրությամբ մանրամասն դատաբժշկական հաշվետվություն ստեղծելու հնարավորությամբ: Ներկայումս այս գործիքը գտնվում է բետա տարբերակում և ապագայում նախատեսվում է ընդլայնել հնարավորությունների փաթեթը, օրինակ՝ միջոցառման մասին տեղեկատվություն ավելացնել Mitre Att&ck մատրիցայի տեսքով։
Ամփոփում
Եկեք ամփոփենք. այս հոդվածում մենք նայեցինք SandBlast Agent Management Platform-ում անվտանգության իրադարձությունների մոնիտորինգի հնարավորություններին և ուսումնասիրեցինք օգտվողի մեքենաների վրա վնասակար գործողությունների և անոմալիաների ակտիվ որոնման նոր գործիք՝ Threat Hunting: Հաջորդ հոդվածը կլինի այս շարքի վերջնականը, և դրանում մենք կանդրադառնանք կառավարման հարթակի լուծման վերաբերյալ ամենահաճախ տրվող հարցերին և կխոսենք այս արտադրանքի փորձարկման հնարավորությունների մասին:
. Որպեսզի բաց չթողնեք SandBlast Agent Management Platform թեմայի վերաբերյալ հաջորդ հրապարակումները, հետևեք մեր սոցիալական ցանցերի թարմացումներին (, , , , ).
Source: www.habr.com